سارقان در کمین ریالهای الکترونیکی
نام نویسنده: م.ر.بهنام رئوف
نفوذ چهار هکر به سیستم بانکی که طی آن پنجمیلیارد تومان به سرقت رفته و دستگیری آنان خبر مهم هفته گذشته ود. سرهنگ امیدی، رییس دایره جرایم رایانهای ناجا که این خبر را اعلام کرده از جزئیات این سرقت و چگونگی این دستبرد بانکی سخن نگفته است، اما شنیدهها حاکی از آن است که اصل این جریان مربوط به سال گذشته است و در واقع خبر موقعی اعلام شده که پرونده تقریبا تکمیل و به پایان رسیده است.
این نخستین بار نیست که شبکه بانکی کشور مورد حمله قرار میگیرد. چند سال پیش نخستین مورد از این حملهها نیز توسط یک متخصص کامپیوتری و به شکل ماهرانهای گزارش شده بود. در آن حمله گفته میشد حدود پنجاهمیلیون تومان به سرقت رفته بود، اما طولی نکشید که فرد هکر توسط متخصصان امنیتی شناایی و دستگیر شده بود.
آیا حملات اخیر به شبکه بانکی نشان از وضعیت نگرانکننده امنیت الکترونیکی حوزه مالی دارد؟ آیا رویکرد جدید شبکه بانکی در توسعه سیستمهای اینترنتی موجب فعال شدن بالقوه این حملات شده است؟ آیا این حمله اخیر را باید صرفا بر حسب یک تصادف و اتفاق گذاشت و بالاخره و مهمتر از همه آیا مشتریان بانکها باید بعد از این نگران این حملات باشند ؟
امنیت شبکه بانکی
شبکه بانکی ایران که ظاهرا یک شبکه بانکی بسته است، از طریق سرورهایی هدایت میشود که در زیرزمین ساختمان بانک مرکزی قرار دارند و به شکل ویژهای حفاظت میشوند. این شبکه از طریق ارتاط ماهوارهای شکل گرفته و ارتباط تمامی بانکهای متصل را به آن فراهم میکند. بهرغم حفاظت شدید مجازی از این شبکه، دو نفوذ گزارش شده نشان میدهد که این شبکه غیر قابل نفوذ نیست.
با این حال هر نوع نفوذی به یک شبکه را نمیتوان صرفا به ضعف آن شبکه نسبت داد و فاکتورهای متعددی برای فراهم آوردن یک حمله اینترنتی مورد نیاز است. امروزه در جهان روزانه هزاران کارت اعتباری به سرقت میرود و صدها نمونه از کلاهبرداریهای اینترنتی گزارش میشود که مجموع ارقام سرقت شده تنها چند روز آن با سنگينترين سرقت اینترنتی ایران برابری میکند. مصطفی پورحسینی، کارشناس بانکی میگوید: هر چند سرقتهای اینترنتی در ایران بسیار کم و ناچیز است، اما از یاد نبریم که هراس از همین حملات بود که توسعه بانکداری اینترنتی و الکترونیکی را در ایران این همه به تاخیر انداخته است. بسیاری از مدیران تصمیم گیر بانکی با هراس از بروز چنین حملاتی سالها در مقابل توسعه بانکداری الکترونیکی در ایران مقاومت میکردند، اما طی چند ماه اخیر ناگهان همه بانکها گویی تازگی امکانات الکترونیکی را کشف کرده باشند و مشغول تبلیغ فراوان آن هستند. بسیاری از کارشناسان بانکی بر این باورند که تعداد حملات اینترنتی در مقایسه با حملات فیزیکی عملا جایی را برای تردید باقی نمیگذارد که روی آوردن به سیستمهای الکترونیکی ریسک بسیار پایینی نسبت به توسعه روشهای سنتی دارد. حتی مقایسه حجم مبالغ به سرقت رفته از طریق روشهای سنتی و روشهای الکترونیکی نیز نشان دهنده آن است که حملات الکترونیکی به مراتب تهدید کمخطرتری به شمار میآیند ضمن آنکه ردیابی و دستگیری سارقان از طریق روشهای الکترونیکی نیز بر این مزیتها اضافه میشود.
بهرغم این، به نظر میرسد کمتر بانک ایرانی حاضر به سرمایهگذاری كلان روی امنیت شبکه خود باشد. موضوعی که به تدریج و با رشد شبکه و دسترسی بیشتر مردم ریسک بالاتری مییابد.
آموزش مشتریان بانکی
بهرغم این که حملات اینترنتی و الکترونیکی چندانی در ایران گزارش نشده، اما توسعه روز افزون وابستگیهای الکترونیکی مشتریان به بانکها اهمیت فراوانی پیدا کرده است. شاید مهمترین شانسی که شبکه بانکی ایران در مسیر توسعه خود داشته این است که هنوز کارتهای اعتباری بینالمللی و حتی داخلی فراگیر نیست. بخش عمده حجم سرقتهای بانکی در جهان را هک شدن کارتهای اعتباری و دزدیده شدن اطلاعات بانکی افراد تشکیل میدهد. در ایران نبود سیستم اعتباری ( که قطعا ناشی از نبود اعتماد است) باعث شده صرفا کارتهای Debit توسعه یابد.
بهرغم این که طی یکی دوسال اخیر حجم فراوانی از سازمانها حقوق پرسنل خود را توسط این کارتها پرداخت میکنند و افزایش پایانههای فروش و دستگاههای خودپرداز نیز مردم را به استفاده از این کارتها ترغیب کرده، اما در زمینه آموزش برای حفظ امنیت مشتریان کمترین کار صورت گرفته است. حسین منصورزهی، مدیر یکی از شعبههای یک بانک دولتی میگوید: بسیاری از مردم ناگهان مجبور به استفاده از این کارتها میشوند و بزرگترین مشکل روزانه ما این است که بسیاری از آنها از قابلیتهای عادی این کارتها بیاطلاعاند و از این رو بهرغم داشتن این کارتها هنوز به انجام امور بانکی از داخل شعب علاقه نشان میدهند.
وی میافزاید: در زمینه حذف پرداخت قبوض خدماتی ما مدتها با مشتریان این بحث را داشتیم که دیگر حاضر به پذیرش این قبوض نیستیم و آنها باید از طریق خودپرداز یا اینترنت نسبت به پرداخت آنها اقدام کنند، اما هنوز حتی بسیاری از افراد تحصیلکرده به خوردن مهر روی قبض بیشتر اعتماد دارند تا دریافت رسید از خودپرداز.
علاوه بر این، بسیاری از مشتریان بانکها از ابتداییترین اشکال امنیتی برای حفظ اطلاعات کارت خود با خبر نیستند و همین زمینه را برای سوءاستفاده کلاهبرداران فراهم میکند. در میان بانکهای ایرانی تنها معدودی حاضر به ارائه خدمات اطلاعرسانی به لحظه برای استفاده از سیستمهای الکترونیکی هستند و اغلب بانکهای دولتی کارتهای بانکی را تنها به همراه یک کلمه عبور به مشتری تحویل میدهند و هیچ کاری نسبت به آموزش وی انجام نمیدهند.
شبکههای تلویزیونی و رسانههای جمعی در جهان معمولا همواره در حال نشان دادن تبلیغات بانکها هستند. به طور متوسط بانکهای ایرانی هر ماه دهها میلیارد تومان فقط هزینه تبلیغات تلویزیونی میدهند، اما این تبلیغات به هیچ عنوان جنبه آموزشی یا هشدار دهنده ندارد. پورحسینی، کارشناس بانکداری الکترونیکی میگوید: قریب به اتفاق بانکهای ایرانی صرفا بر تعداد مشتریان میافزایند بی آنکه به آموزش و آگاهسازی این مشتری تمایلی نشان دهند. همین موضوع زمینهساز سوءاستفاده فراوان در آینده را فراهم میکند. موضوعی که در نهایت به خود بانکها نیز باز خواهد گشت.
راه نفوذ بسته نیست
کسانی که قادر به هک سیستمهای بانکی هستند قطعا از دانش و تخصص بالایی برخوردارند و شبکه فعلی بانکی کشور حداقل امنیت را برای حفظ اطلاعات و پول مشتریان فراهم میکند. با این حال برخی کارشناسان کامپیوتری معتقدند که این شبکه ضعفهای امنیتی گستردهای دارد. در عین حال جرم رایانهای مرتبط با کلاهبرداری اینترنتی نیز هنوز در قانون تعریف نشده است.
قانون جرایم رایانهای که هم اکنون در شورای نگهبان در حال تصویب نهایی است، مجازاتهایی را برای این دسته از جرایم در نظر گرفته است، هر چند برخی معتقدند که روح و قدرت بازدارندگی این قانون بیشتر از جرایمی از قبیل هک و حملات اینترنتی به سمت و سویی دیگر رفته است. طراحی شبکههای بانکی و گستردگی فراوان آنها در سطح کشور و برقراری تماس از طریق ماهواره ممکن است در آینده خطرات بیشتری را به سمت و سوی شبکه بانکی سرازیر کند، اما آگاهی بخشی و پیش برد اصول امنیت رایانهای در کنار سرویسهای اینترنتی یک اصل جدانشدنی است.